Старите проблеми застигат Comodo.Предупредени още през 2007г. ,от matousec ,от Comodo не предприемат никакви действия в тази насока...

Колко доверени са.."доверените" файлове...

Цитат

Как оказалось, сначала Comodo вычисляет для файлов хеш SHA1. С опорой на этот хеш еще можно мириться, хотя теоретически он считается взломанным. Но затем Comodo вычисяет от этого хеша контрольную сумму CRC32 и уже по ней проверяет репутацию. Вот так, худо-бедно криптостойкий хеш сворачивается в жалкие 4 байта

Уязвимость Comodo: они проверяют репутацию по 32-битному хешу. По 32-битному, Карл!

Цитат

Любой вирус можно сделать доверенным для Comodo Internet Security, подогнав связанную с ним контрольную сумму CRC32 к какому-нибудь безопасному файлу.

До сих пор пользователи Comodo могли считать репутацию файлов главной своей надеждой и опорой. Мол, блокируем все неопознанное и чувствуем себя стерильно чистыми. Обнаруживались, правда, способы обойти эту блокировку, но само понятие доверенного файла сомнений не вызывало... Почти не вызывало. Разве что иногда облачный анализ выделывал номера, признавая доверенным полное «непонятно что» (как странный файл prompt[1].ht, похожий на огрызок скрипта-даунлодера, при отключенном облаке убивавшийся антивирусом, а при включенном — попадавший в доверенные).

 

Автора е предложил и практически е показал на ..отговорните лица в Comodo,видео с проблема..

 

Spoiler

До сих пор пользователи Comodo могли считать репутацию файлов главной своей надеждой и опорой. Мол, блокируем все неопознанное и чувствуем себя стерильно чистыми. Обнаруживались, правда, способы обойти эту блокировку, но само понятие доверенного файла сомнений не вызывало... Почти не вызывало. Разве что иногда облачный анализ выделывал номера, признавая доверенным полное «непонятно что» (как странный файл prompt[1].ht, похожий на огрызок скрипта-даунлодера, при отключенном облаке убивавшийся антивирусом, а при включенном — попадавший в доверенные).

Но в действительности давно следовало бить тревогу. По крайней мере, уже тогда, когда в списке файлов (если смотреть непосредственно базу) обнаружилось загадочное поле SHA1CRC32. Зачем оно, если там уже есть поле SHA1?

Как оказалось, сначала Comodo вычисляет для файлов хеш SHA1. С опорой на этот хеш еще можно мириться, хотя теоретически он считается взломанным. Но затем Comodo вычисяет от этого хеша контрольную сумму CRC32 и уже по ней проверяет репутацию. Вот так, худо-бедно криптостойкий хеш сворачивается в жалкие 4 байта.

Об использовании Comodo слабого хеша предупреждали еще в 2007 году! Спасибо Дису за ссылку. Как видим, ситуация с тех пор не особо улучшилась.

Напомню, что репутация программы определяет ее разрешения в различных компонентах CIS: файлы, получившие репутацию «доверенных», не сканируются антивирусом; Auto-Sandbox, HIPS и фаервол по умолчанию также практически ничего не запрещают доверенным программам; а при наличии признака установщика контроль проактивной защиты снимается еще и с дочерних процессов таких программ.

Файлы получают репутацию «доверенных» разными путями. Соответственно, чтобы судить об уязвимости, нужно рассмотреть каждый случай в отдельности.

Первый случай — совпадение с каким-либо файлом, уже присутствующим в списке. Не играет роли ни расположение файла, ни его имя, ни даже расширение (тип) — только содержимое. И именно в этом случае проявляется означенная уязвимость: идентичность содержимого проверяется по 32-битному хешу.

Надо добавить, что алгоритмы вычисления хешей SHA1 и CRC32 в Comodo практически стандартные, на разных машинах одинаковые. Таким образом, коллизия, найденная в одном месте, сможет использоваться везде. А ведь обычное добавление к файлам числа, случайно сгенерированного для каждой отдельной машины, усложнило бы эксплуатацию этой уязвимости.

Второй случай — попадание в некую особую, скрытую базу доверенных файлов. Признаюсь, вид и расположение этой базы для меня остается загадкой. О ее существовании говорят лишь наблюдения: CIS «доверяет» некоторым программам, несмотря на то, что они не подписаны (или доверие подписанным отключено) и отсутствует интернет. При этом сами эти программы в список файлов не заносятся. Бывает, что «доверие» возникает не сразу, а после офлайн-обновления антивирусной базы.

В этом «втором» случае, скорее всего, используется более надежная проверка идентичности, чем по 32 битам. По крайней мере, я с 35 миллионов попыток не смог подогнать файл к совпадению с чем-нибудь из этой базы. Навскидку, если в «скрытую базу» входит хотя бы 300 файлов, с 90% вероятностью должно было найтись совпадение по 32-битному хешу.

Третий случай — цифровая подпись доверенного поставщика. Тут тоже подбор по короткому хешу пролетает: проверяется именно наличие подписи. Если подписи нет, доверия не будет — даже если файл совпадает по хешу с каким-то подписанным, но отсутствующим в списке файлов.

Четвертый случай — облачная проверка. Увы, онлайн-проверка сильно замедляет тестирование: удавалось разогнаться лишь где-то до 10 файлов в секунду. Сделал полмиллиона попыток — доверия не получил. По идее, облачная база Comodo огромна: если она содержит хотя бы 20 тысяч файлов, я бы с 90% вероятностью напоролся на коллизию короткого хеша. Скорее всего, облачная проверка тоже не сводится к 32 битам. Так что аномалии, подобные упомянутой в начале статьи, остаются без объяснения.

Пятый случай — создание файла доверенной программой-установщиком — рассматривался много раз в статьях. Это серьезная брешь, но прямого отношения к данной теме не имеет. К тому же легко закрывается настройкой.

Оставшиеся случаи — занесение программы в доверенные самим пользователем — не рассматриваем...

Итак, что требуется для успешной атаки? — Подогнать зловред по 32-битному хешу к любой программе, которая наверняка присутствует у жертвы в списке файлов. А в него обязательно войдут несколько стандартных/системных программ и компонентов самого CIS. Единственное — системные файлы все-таки обновляются время от времени, и понадобится соответствовать актуальной версии (впрочем, возможно, база хранит и старые хеши). Зато стабильностью файлов Comodo грех не воспользоваться — к их хешам и будем подгонять зловред.

Поскольку контрольная сумма CRC32 вычисляется не от файла, а от его криптографического хеша, подгонку придется выполнять «грубой силой». Однако для 32 бит это не проблема: совпадение отыскивается за считанные минуты. Я подобрал и прилепил к старому шифровальщику gpcode.exe хвост, давший совпадение по хешу с файлом cmdagent.exe. Этот файл обязательно присутствует в списке доверенных, поэтому и шифровальщик окажется доверенным на любой машине, где установлен CIS той же версии и разрядности.

Как видим, надеяться на защиту по «белому списку» мы можем лишь до тех пор, пока Comodo, как неуловимый Джо, никому не нужен. Окажись он в прицеле — мокрое место останется, особенно с учетом других его скандальных проблем. Однако, пока мы «неуловимы», попробуем принять хоть какие-то меры, чтобы выстоять перед коллизией хеша.

Основная надежда остается лишь на жесткие запреты в правилах HIPS, наподобие защиты от шифровальщиков и других приемов. Но, к сожалению, крайне сложно запретить аналогичным образом более глубокие операции, так как это помешает обновлению системы.

Отмечу, что нельзя особо рассчитывать на параноидальный режим, так как, начиная с 8-й версии, даже в этом режиме не контролируется активность доверенных установщиков, а сделать вирус «установщиком» не составляет труда. Только жесткие запреты в правилах HIPS могут сдержать такой вирус.

По-прежнему рекомендую отключить облачную проверку. Хотя с конкретно этой уязвимостью она, скорее всего, не связана, облачная проверка угрожает подобными казусами.

Сомнительная мера — отказ от занесения всех исполняемых файлов в доверенные. С одной стороны, десятки тысяч записей увеличивают шанс случайной коллизии хеша, а также облегчают «наивный» ее поиск неумелым вирусописателем. С другой — случайная коллизия остается маловероятной, а целенаправленный поиск занимает считанные минуты. Все же, в качестве защиты от дурака, я удаляю из своих статей инструкцию по занесению всех файлов в доверенные и заменяю ее рекомендацией временно запустить свои программы при отключенной защите, а затем сделать доверенными только те файлы, которые папали в список.

Также настоятельно рекомендую использовать системные средства защиты, в частности, UAC.

Цитат

Поскольку контрольная сумма CRC32 вычисляется не от файла, а от его криптографического хеша, подгонку придется выполнять «грубой силой». Однако для 32 бит это не проблема: совпадение отыскивается за считанные минуты. Я подобрал и прилепил к старому шифровальщику gpcode.exe хвост, давший совпадение по хешу с файлом cmdagent.exe. Этот файл обязательно присутствует в списке доверенных, поэтому и шифровальщик окажется доверенным на любой машине, где установлен CIS той же версии и разрядности.

Като се замисля...не искам и да си представям проблемите,с които са се разминали...цяло чудо..При това не един ползвател е възмутен..това е от рускоезичния официален форум

на който са отговорили да не създава правила в програмата ...........

При COMODO винаги слабата страна е била в конфигурацията на самата програма. Би трябвало добавянето на правилото в защитените файлове и папки - ?:\* да реши проблема. Но все пак може да се изключи и Cloud анализа, както препоръчва автора на статията. Не препоръчвам преминаването в paranoid mode или изключването на доверените издатели, защото тогава програмата ще ви побърка от ненужни въпроси. Според мен е трябвало да докладва това при затворени врати, дори проблема да е стар, защото така дава идея (или припомня) на злосторниците как да заобиколят защитата. Ок, че иска да им натрие носа, но едва ли е това начина. А иначе допълнителното подсигуряване винаги е добре дошло - (SRP, LUA, UAC от вградените инструменти) и може би Malwarebytes Anti-Ransomware/Anti-Exploit + CryptoPrevent от външните такива. Но наистина е добре вместо да се чудят какви новости да вкарат в новата версия, да оправят и старите бъгове...Пак от comss.ru преди ги предупредиха и за уязвимост в do heuristic command-line analysis for certain applications. Продължават и да използват AppInit_DLLs при зареждането на guard32/64.dll въпреки, че MS съветва никой вече да не използва този метод. Като цяло имат доста да изчистват, но то кой ли няма. Всяка нова версия на повечето програми за защита поправя нещо, но открива път за нови уязвимости тъй като се добавят нови редове код.

Антивирусните под атака:как се преодолява защитата с 10 реда код

Специалист по информационна сигурност, с никнейм evasiv3 ,публикува в своя блог статия, в която описва как се заобиколя всеки анти-вирус, с помощта на десет реда код...

Цитат

Bypassing Antivirus With Ten Lines of Code or (Yet Again) Why Antivirus is Largely Useless

 

I had originally set out to write a long winded blog post on different antivirus bypass techniques. I went through what was supposed to be step 1 of my guide and uploaded my resultant binary to virustotal. To my complete and utter shock, the binary got a 0/56 detection rate. I decided to throw out my long winded idea and move forward with this quick, dirty, and unbelievably easy method.

 

I believe that most of my readers would agree with me that bypassing most antivirus based solutions is rather trivial, however I do occasionally bump in to some people who solely rely on tools that generate binaries that can easily be fingerprinted and flagged by antivirus solutions. This article is largely intended for that audience.

Before I dive in to this small tidbit of C++ code, I'd like to touch on a tool that is really good at producing binaries that almost always evade detection, Veil-Evasion (part of the Veil-Framework). This tool is awesome (many thanks to @harmj0y and others for creating and contributing to this awesome project) and in almost all instances I have had to use it has not let me down. If it has, I blame people who keep generating binaries and then testing them on virustotal. If you people could stop doing that, that would be great.

At any rate, this begs the question, if tools like Veil Evasion are so epic, why should you care about knowing how to slap togother a binary with a shellcode payload yourself? Well there are a number of reasons:
 

• People get busy and tools become deprecated
• The binaries generated by tools become fingerprintable; not the payload necessarily, but the compiled structure of the binary.
• As a penetration tester, you should really know how to do this. Ups your leet cred.. or so I hear.

Before you take a look at the below code, it's worth noting that this is targeting the windows platform; as obviously noted with the reference to windows.h
 

#include <windows.h>
#include <iostream>
int main(int argc, char **argv) {
 char b[] = {/* your XORd with key of 'x' shellcode goes here i.e. 0x4C,0x4F, 0x4C */};
 char c[sizeof b];
 for (int i = 0; i < sizeof b; i++) {c[i] = b[i] ^ 'x';}
 void *exec = VirtualAlloc(0, sizeof c, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
 memcpy(exec, c, sizeof c);
 ((void(*)())exec)();
}

Quite simply, the above code creates a character array with shell code you can add, performs an XOR operation with the incredibly sophisticated key of lowercase 'x', allocates some memory, copies the character array in said allocated memory, and executes it. It may be worth highlighting that you will need to XOR your shellcode with your key of choosing (in this case 'x') before you put it in the above code and compile.

So you are probably looking at that and thinking 'really?' - I know how you feel. This is how I felt after I intended this to be step 1 of my tutorial and I ran it through virustotal and it returned 0/56 detection. I'd like to stress that this is an incredible simple and most basic technique, yet its success is still rather astonishing.

I originally wrote this example and tested it on virus total a while ago, but I did reanalyze the executable on virustotal at the time of publishing this post and found it still had a 0 detection rate.
 

The binary you generate will very likely not match the SHA256 of the binary I have tested; the binary I uploaded contained shellcode generated with the metasploit framework.
 

Final Comments

Alright, so antivirus is dead. We all know that. That being said, we can't argue that over 95% of organizations are still depending on antivirus to protect endpoints. 

 

Is there a better way? certainly. A number of vendors, which I shall not name, have launched products that take a new approach to protecting endpoints primarily focusing on identification of known exploit techniques. This is usually performed by way of injecting DLLs in to processes that will monitor for these known techniques and prevent the exploit from working successfully. 

 

Is this fool proof technique? I would be inclined to say no. The bar will be raised, but a new type of cat and mouse game will begin.

Final note: The above may not work on _all_ antivirus solutions. I figure that was obvious, but thought I would mention it before the pitch forks come after me!

Edit (3/17/2016): Wow. This post blew up a lot more than I intended it to. Please bear in mind that this article was targeted at penetration testers. The goal was to demonstrate an extremely simplistic signature based AV bypass technique. I didn't point out 'signature' as I assumed it was obvious that heuristics capabilities would very likely pick this up - although it really depends on your payload more than anything else. I don't advocate using this technique over infinitely more sophisticated implementations that can be found in Veil-Framework or Shellter. Think of the above code as a template - get creative - make the encoding routing more complicated - maybe implement encryption with key bruteforcing? then maybe add some prime number generation at the get go to throw off heuristics if you want to be fancy. Use payloads that communicate over HTTPS as well. Sky's the limit - this was just a super fundamental example.

Статията на руски:http://www.comss.ru/page.php?id=2974

Spoiler

Специалист по информационной безопасности под ником evasiv3 опубликовал в своем блоге статью, в которой рассказывается о том, как можно обойти любой антивирус при помощи десяти строк кода

Автор приведенного ниже способа продолжительное время занимается поиском различных техник обхода антивирусной защиты. Скомпилировав созданный вредоносный код в двоичный бинарный файл, он в первую очередь загрузил его в онлайн сервис VirusTotal. Ни один из 56 антивирусных движков не обнаружил признаков вредоносной природы в данном файле.

Обход большинства антивирусов для специально подготовленных специалистов является довольно тривиальной задачей. Тем не менее, некоторые пользователи используют инструменты для генерации бинарных файлов, которые могут быть легко обнаружены антивирусными продуктами. Данная статья предназначена в первую очередь для таких пользователей.

Перед тем как будет представлен тот самый код обхода защиты на языке С++, стоит отметить эффективный инструмент создания двоичных файлов, которые почти всегда избегают обнаружения - это Veil-Evasion (часть Veil-Framework).  Данный инструмент действительно очень эффективен в большинстве случаев, а сгенерированные файлы часто успешно проходят проверку VirusTotal.

Совершенно логично возникает вопрос: если есть инструменты наподобие Veil Evasion, зачем нужно заморачиваться с созданием бинарников с полезной нагрузкой оболочки?

На это есть ряд причин:

• Инструменты имеют тенденцию устаревать;
• Бинарные файлы, сгенерированные инструментами, могут быть идентифицированы - причем не обязательно полезная нагрузка, а структура двоичного файла;
• Пентестеры должны знать, как нужно создавать двоичные файлы самостоятельно.

Перед тем, как Вы посмотрите на следующий код, размещенный в блоге автора, стоит отметить, что он ориентирован на платформу Windows, что очевидно благодаря ссылке на windows.h.

Все очень просто: приведенный код создает массив символов с кодом оболочки, который Вы можете добавить, выполняет операцию XOR с очень чувствительным ключом с нижним регистром “x”, выделяет некоторую память и исполняется. Стоит подчеркнуть, что вам нужно обернуть в XOR ваш код оболочки с ключом перед компиляцией.

Вы возможно сморите на данный код и думаете, действительно ли так все просто? Бинарный файл не был обнаружен ни одним из 56 движков на VirusTotal. Файл прошел повторную проверку после публикации поста в блоге - детект по-прежнему 0/56. Это очень простой метод, но он действительно эффективен.

Бинарный файл, который будет сгенерирован, возможно не будет соответствовать SHA256 тестового примера. В загруженном бинарнике код оболочки был сгенерирован с помощью фреймворка Metasploit.

Заключение

Итак, антивирус мертв. Мы все это знаем. Как говориться: мы не можем утверждать, что 95 процентов компаний полагаются на антивирусную защиту для поддержания безопасности рабочих станций.

Есть ли способ лучше? Безусловно. Некоторые вендоры, которые мы не будем называть, запустили продукты, представляющие новый подход для защиты рабочих станций, которые нацелены на обнаружение техник эксплойтов. Это, как правило, осуществляется путем инъекции DLL в процессы, которые выполняют мониторинг подобных техник и предотвращают их успешную работу.

Примечание: представленное решение может работать не со всеми антивирусами.

Как отмечает автор, данная статья предназначена для пентестеров и лишь знакомит с простым методом обхода антивирусной защиты на базе сигнатур. Эвристические компоненты смогут очень легко обнаружить полезную нагрузку. Не рекомендуется использовать данный метод для более чувствительных реализаций на базе Veil-Framework или Shellter. Данный код является просто шаблоном, его можно усовершенствовать с помощью шифрования с перебором ключей, использования передачи данных по HTTPS и применения дополнительного кода для обхода эвристический защиты. Вариантов много - данный код является лишь фундаментальным примером.

 

Това не е нищо ново. Често се прави препакетиране на изпълнимия файл (в случая е използвано криптиране с XOR) за да се избегне засичането. Важно е какво се случва при стартирането на файла, защото повечето антивирусни имат и други модули за следене на това какво файла се опитва да изпълни като действия и често позволява те да се блокират. Засичането и стартирането са две различни неща, които компенсират ефективността на решенията за защита.

Крипто рансъмуера наречен PETYA презаписва MBR-а на потребителите!

http://blog.trendmicro.com/trendlabs-security-intelligence/petya-crypto-ransomware-overwrites-mbr-lock-users-computers/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Anti-MalwareBlog+%28Trendlabs+Security+Intelligence+Blog%29

 

 

Отново русите в атака. Инсталирайте си руски клавиатури на машините.

BitDefender са пуснали ново комбинирана ваксина срещу CTB-Locker, Locky, TeslaCrypt, Kimera .

http://forum.malekal.com/bitdefender-crypto-ransomware-immunizer-vaccine-t53362.html

https://labs.bitdefender.com/2016/03/combination-crypto-ransomware-vaccine-released/

Благодаря! Тия дни се чудех къде изчезна AntiCryptoWall.

 Вече е разопакована и стартирана.  

Дано само не създава пак само няколко правила в secpol. Ще го тествам, но ако продължава да е постен си оставам на CryptoPrevent-a. По-опасен е обаче ransomware-a Petya. За момента има тест, че HitmanPro.Alert, Mbam Anti-Ransomware не го засичат, а само WinAntiRansom се справи със задачата. Все пак не вярвам, че ще успее да преодолее sandbox-a или Defense+ на CIS. Има си и отделна програма за защита на MBR-то в лицето на nprotect MBRGuard, но трябва да се тества.

Правете се на руснаци - инсталирайте си руски клавиатури...

Здравейте,

Има ли шанс за декриптиране на заключени файлове от вирус рансомуер файлове с разширение от типа "[email protected]"?

Пробвах с RakhniDecryptor но не открива ключа.

преди 1 час, dpgeorgiew написа:

Здравейте,

Има ли шанс за декриптиране на заключени файлове от вирус рансомуер файлове с разширение от типа "[email protected]"?

Пробвах с RakhniDecryptor но не открива ключа.

Ако не сте преинсталирали пробвайте с ShadowExplorer или Previous Versions да намерите предишни, но чисти и работещи версии на файловете си.

Друг вариант е със софтуер за възстановяване на файловете като Photorec/Testdisk, Recuva, R-Studio.

Потребители са споделяли, че за тези варианти с @ в името освен инструмента на Kaspersky понякога помага и http://download.bleepingcomputer.com/cryptorbit/Anti-CryptorBitV2.zip

Или по-подробните инструкции:

 

ВАРИАНТ 1

 

Пробвайте да кликнете върху някой криптиран документ с десен бутон => Properties => Previous Versions и вижте дали можете да върнете работещата версия на файла:

http://www.howtogeek...n-of-windows-7/

 

ВАРИАНТ 2

 

Ако не се получи пробвайте с ShadowExplorer

http://www.howtogeek...-windows-vista/

 

Пример с тази снимка...обяснявам легендата:

 

1. Дяла, на който са били файловете.

2. Колко ранна е точката на бекъпа (няма значение, ако не са правени големи промени по файла след тази дата, но поне има шанс да работи).

3. Желаната директория.

4. Желания файл. (десен бутон върху файла => Export). Препоръчително е да се запамети на дял различен от този от който файла е бил изтрит/криптиран, защото при неуспешна манипулация това ще намали шанса за възстановяване на файла още повече. Процедурата е трудоемка, отнема време и е досадна, но за момента няма какво да се направи докато чакаме отговор от специалистите.

Ако се получи, ще се наложи за всеки един файл да пробвате (няма автоматизирано решение за момента) и след като спасите (ако успеете) това, което ви трябва пишете и ще продължим с почистването (и изтриването на паразитите + криптираните копия).

 

ВАРИАНТ 3

 

Ако нищо не помага до момента остава да сканирате с Recuva portable и да видите дали ще можете да намерите читави копия на файловете ви (зависи дали гадината ги е изрила или само криптирала, а ако ги е изтрила дали е презаписала празното пространство). Сложете отметка пред Deep Scan в Recuva за по-голям шанс за успех. Намерените читави копия изберете да запазите на друг носител като флашка или външен диск, а не на този, който сканирате за да не намалите шанса си за спасяване на информацията. За предпочитане е външните носители да са празни, защото при активна зараза (такава не се вижда според логовете) ще се заразят и файловете на външните носители. Има и по-добри програми за сканиране и възстановяване на изтрити данни, но са платени. От безплатните най-добрата е може би TestDisk, но с инструмента се работи трудничко и няма потребителски интерфейс. Но пък PhotoRec, която е от същата компания май вече има такъв и можете да опитате и с нея.

 

Поздрави!

 

Благодаря за изчерпателния отговор. Ще пробвам.

Получих запитване относно следната ситуация. След инсталацията на Bitdefender Anti-Ransomware-a инструмента създава два ключа в регистрите за защита от Locky и още един вариант на криптиращ вирус (явно вече не създава правила в Local Security Policies). При почистване на регистрите с CCleaner инструмента намира тези 2 ключа и ги предлага за изтриване (защото са празни - това е начина за противодействие явно на самия инструмент - за да може гадината като се опита да ги създаде да види, че вече има такива ключове и един вид да излъже, че системата е вече може би заразена).

Цитат

HKCU\Software\P3Eh14IF9

HKCU\Software\Locky

Решението е просто да ги сложите в изключенията на CCleaner.

Поздрави!

Petya ransomware може да бъде декриптиран.

 

http://news.softpedia.com/news/petya-ransomware-unlocked-you-can-now-recover-password-needed-for-decryption-502798.shtml

 

 

Сайт

https://petya-pay-no-ransom-mirror1.herokuapp.com/

 

Инструмент

Tо от миналата седмица, ма... излязоха годишните доклади на Симантек и F-Secure:

https://www.f-secure.com/documents/996508/1030743/Threat_Report_2015.pdf

https://www.symantec.com/content/dam/symantec/docs/reports/istr-21-2016-en.pdf

И двата са интересни и подробни - единият 50, другия 80 стр.

F-Secure съветват да спрете Windows Script Host за допълнителна защита от  various crypto-ransomware families (and backdoors) .

https://labsblog.f-secure.com/2016/04/19/how-to-disable-windows-script-host/

 

преди 27 минути, URIEL написа:

F-Secure съветват да спрете Windows Script Host за допълнителна защита от  various crypto-ransomware families (and backdoors) .

https://labsblog.f-secure.com/2016/04/19/how-to-disable-windows-script-host/

 

Хаха те са се сетили. Аз го препоръчвам от поне 5 години с инструмента на Symantec - NoScript.exe. (да не се бърка с добавката NoScript за Mozilla Firefox).

Макар, че NoScript бърника из други ключове в регистрите и е добре да се промени и HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings\Enabled, както е описано и в статията на F-Secure.

А иначе Grinler също го е дал тук още през 2014-та.

http://www.bleepingcomputer.com/forums/t/556942/keybtc-a-simple-yet-effective-encrypting-ransomware/

Гого,моля те да разясниш на широката общественост,спирането на  Windows Script Host, при какви

ситуаций би създало проблеми на работата на дадена програма,посещаването на даден сайт,инсталаций,

деинсталаций и т.н.

                                                                                                                             предварително благодаря

Regsvr32 може да бъде използван за инсталиране на рансъмуер.Повече и как да се предпазим тук:

http://www.bleepingcomputer.com/news/security/regsvr32-can-be-used-to-install-ransomware-through-jscript-installers/

Редактирано 29 април 201610 г. от Гост (преглед на промените)

За X64:

netsh advfirewall firewall add rule name="RegSvr Block" dir=Out action=block program="C:\Windows\SysWOW64\regsvr32.exe" enable=yes

За X86:

netsh advfirewall firewall add rule name="RegSvr Block" dir=Out action=block program="C:\Windows\System32\regsvr32.exe" enable=yes

Редактирано 28 април 201610 г. от ExaFlop (преглед на промените)

Още едно предупреждение за инсталиране на зараза в браузъра чрез WMI (заразата е без наличието на файлове):

http://www.bleepingcomputer.com/news/security/yeabests-cc-a-fileless-infection-using-wmi-to-hijack-your-browser/

Началото на подобни зарази неизползващи файлове постави Poweliks с добавянето на скрипт в регистрите:

http://www.zdnet.com/article/poweliks-trojan-goes-fileless-to-evade-detection-and-removal/

 

Пуснали са декриптор за TeslaCrypt!

http://betanews.com/2016/05/18/teslacrypt-closes-free-decryption-key/

И още по темата: http://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key/

и http://www.welivesecurity.com/2016/05/18/eset-releases-decryptor-recent-variants-teslacrypt-ransomware/

6 ПЪТИ СЕ Е УВЕЛИЧИЛА АКТИВНОСТТА НА КРИПТИРАЩИ ВИРУСИ ЗА ПЪРВИТЕ 4 МЕСЕЦА НА 2016

За периода от февруари да април 2016,активността на криптиращите вируси се е повишила 6 пъти,като през март е отчетен пик от 70% от всички регистрирани образци.
Такива са данните в публикувания доклад на компанията FireEye.През март тази година е отчетено значително увеличение на активността криптиращия вирус Locky, разпространяващ се с масирана спам кампания, насочена към потребители от над 50 страни. По време на кампанията, са разпратени имейли под формата на балансни сметки или изображения,със заразено съдържание.

Според доклада, авторите на вируси продължават да променят кода на CryptoWall и TorrentLocker, добавяйки в новите версии все по-сложни начини на криптиране. Според прогнозите на FireEye,заразите от този тип , ще продължат да бъдат сериозна заплаха както за обикновените потребители,така и за организации и фирми.
Експертите отбелязват и появата на новите Chimera, Ransom32, LowLevel04, Linux.Encoder.1,които използват нови методи,техники и механизми.За пример,Chimera не само криптира файловете,но заплашва и конфиденциалната информация да стане публично достояние.Ransom32 е вероятно първия работещ в JavaScript а LowLevel04 използва доста необичаен механизъм на разпространение.

http://www.comss.info/page.php?al=V_1_kvartale_2016_goda_aktivnost_vymogatelskogo_PO_vozrosla_pochti_v_6_raz

А ето и информацията на «Лаборатория Касперского»,данните са стряскащи...

Цитат

По данным Kaspersky Security Network, продукты «Лаборатории Касперского» отразили более 228 млн атак, инициированных в 195 странах мира, и нашли более 74 млн вредоносных ссылок. Заражения избежали почти 500 тыс. уникальных пользователей. Кроме того, веб-версия антивируса выявила более 18,5 млн уникальных детектируемых объектов, а файловый антивирус обнаружил более 174,5 млн уникальных вредоносных или потенциально опасных объектов. Растет количество мобильных угроз: продукты «Лаборатории» обнаружили более 2 млн вредоносных установочных файлов, более 4 тыс. сэмплов мобильных банкеров и почти 3 тыс. мобильных вымогателей.

Стоит отметить, что шифровальщики расширили зону поражения и теперь атакуют веб-серверы, шифруя критически важные для компаний данные. Например, эту модель использует CTB-Locker. Но самый разрушительный эффект спровоцировал в прошедшем квартале шифровальщик Locky. Он до сих пор бесчинствует в 114 странах мира, распространяясь через спам-сообщения, содержащие DOC-файл с вредоносным макросом или, по последним сведениям, архив ZIP. Заметное техническое новшество реализовано в троянце Petya, который шифрует не файлы, а жесткий диск в целом путем шифрования таблицы файловой системы. Заявив о себе, зловред требует выкуп в размере около $380. Для выплаты жертве придется воспользоваться другим компьютером, так как зараженная машина становится полностью неоперабельной.

По сравнению с прошедшим кварталом количество обнаруженных модификаций шифровальщиков возросло с 2549 до 2900, а общее количество криптоблокеров в базах «Лаборатории Касперского» составляет около 15 тыс. Наиболее популярными семействами шифровальщиков являются TeslaCrypt (58,43%), CTB-Locker (23,49%) и Cryptowall (3,41%). Жертвами шифровальщиков в первом квартале стали более 372 тыс. пользователей — на 30% больше по сравнению с показателями предыдущего квартала. Около 17% атак шифровальщиков пришлось на корпоративный сектор. Специалисты «Лаборатории» уверены, что в реальности количество инцидентов выше. Чаще всего жертвами криптоблокеров оказываются жители Италии (3,06% пользователей), Нидерландов (1,81%) и Бельгии (1,58%).

https://threatpost.ru/vymogateli-na-marshe/16092/